Блокировка записи при работе с изъятыми цифровыми носителями — обязательное требование цифровой криминалистики. Использование блокиратора записи в  процессе исследования позволяет сохранить целостность данных, избежать любых модификаций оригинального носителя и обеспечить криминалистическую чистоту процесса. Подробнее о назначении и принципах работы блокировщиков записи мы рассказывали в статье Аппаратная блокировка записи при снятии образа диска. В этой публикации мы расскажем про универсальный аппаратный блокиратор записи для накопителей с интерфейсом SATA, который мы разработали для использования как на выездах, так и в лаборатории.

Один блокиратор — два сценария использования

Разработанное нами устройство обеспечивает стабильную блокировку записи для всех накопителей с интерфейсом SATA. Благодаря продуманной конструкции и современным компонентам, оно одинаково эффективно работает как в «полевых» условиях, так и в лаборатории.

У нашего блокиратора есть ряд преимуществ по сравнению с альтернативами. Этих преимуществ удалось достичь использованием современной элементной базы и тщательным продумыванием типичных для наших пользователей сценариев использования.

Компактность и лёгкость. Устройство занимает минимум места, удобно в транспортировке, не требует дополнительной упаковки. В нашем блокираторе отсутствуют мелкие детали, которые легко потерять, а подключение и отключение накопителей не требует использование инструментов — даже отвёртки.

Питание по USB-C PD. Любые накопители m.2, mSATA и 2.5-дюймовые диски можно подключать напрямую к компьютеру, если в нём есть порт USB-C с поддержкой USB Power Delivery (USB-PD), обеспечивающим на выходе хотя бы 20 Вт — этого достаточно для любых 2.5″ SATA-накопителей, даже традиционных магнитных дисков. Для подключения больших 3.5″ дисков уже нужно внешнее питание: мощности порта USB-C для раскрутки шпинделя таких дисков уже недостаточно — но и эта проблема решается при использовании внешнего аккумулятора. Если аккумулятор поддерживает ток в 20В/1.5А, устройство может быть запитано автономно, без доступа к электросети. Наш блокиратор поддерживает внешние аккумуляторы, один из которых мы включили в комплект поставки.

Наши блокираторы обеспечивают скорость на уровне максимальной пропускной способности SATA. Интерфейс SATA обеспечивает скорость передачи данных до 6 гбит/с, что превышает возможности большинства адаптеров и блокираторов, работающих на старых чипах по протоколу USB 3.0. Мы использовали современную элементную базу с поддержкой 10-гигабитных скоростей (при подключении к порту USB 3.2 Gen 2 и выше). Мы провели серьёзную работу по оптимизации на уровне прошивки, благодаря чему удалось добиться скоростей, вплотную приближающихся к лимиту протокола SATA. Более того, такой скорости нам удалось добиться даже без использования режима UASP, который мы намеренно отключили для максамально строгой блокировки.

Возможно, следующий сценарий может показаться довольно экзотическим, но мы предусмотрели и блокировку записи при подключении пишущих оптических приводов. Поддерживается защита от записи для CD/DVD/BD-приводов с интерфейсом SATA.

Вариант для установки в корпус

В дополнение к универсальному варианту мы предлагаем и стационарную версию — блокиратор, установленный в корзину для 5.25-дюймового отсека системного блока. Мы подобрали универсальную корзину, в которую удобно вставлять как 2.5″, так и 3.5″ накопители. Подключение — напрямую к плате через коннектор USB-E — «внутренний» вариант USB-C, имеющийся на большинстве современных материнских плат с поддержкой USB Type C. Этот вариант удобен в лабораторной работе, особенно если приходится снимать образы ежедневно и массово.

Можно использовать как отдельно, так и вместе с переходниками

Мы внимательно изучили доступные на рынке варианты накопителей с интерфейсом SATA и собрали полноценный набор, позволяющий подключить практически любой накопитель с этим интерфейсом. В комплекте — набор переходников, с помощью которых можно подключать как обычные 2.5″ и 3.5″ диски, так и mSATA, M.2 SATA, а также нестандартные форматы, встречающиеся у Apple, Lenovo и ASUS. Для накопителей Apple мы добавили переходники под несколько поколений проприетарных разъёмов.

Кроме того, мы разработали и протестировали переходники для подключения через SATA носителей IDE (40 и 44 pin), CompactFlash, CFast и даже SAS (в режиме совместимости с SATA). Все эти устройства можно подключать к нашему блокиратору — через переходник.

Все переходники — наша разработка. Мы протестировали их с нашим блокиратором в различных вариантах подключения, убедившись, что соединение стабильное, скорость — максимальная, а блокировка записи работает корректно для всех форматов. Подробнее о наших адаптерах — в статье Набор адаптеров и переходников: что нового и зачем это нужно.

Максимальная надёжность в реальных условиях

Мы проверили работу блокиратора с десятками накопителей: как с классическими HDD, так и с «капризными» SSD, включая как самые низкокачественные «безымянные» варианты, так и самые быстрые флагманские накопители. Именно на флагманских SSD многие блокираторы начинают сбоить — появляются ошибки чтения, диск теряется или блокиратор просто «захлёбывается», не справляясь с нагрузкой. Мы лично наблюдали ситуации, когда другие устройства начинали возвращать искажённые данные — вместо содержимого шли фрагменты из памяти.

Наш блокиратор уверенно отработал на всех конфигурациях. Более того, нам уже сообщали, что в отдельных случаях, где старые блокираторы Tableau «отваливались» во время копирования (особенно если речь шла о версиях, закупленных 8-10 лет назад), наш работал стабильно. Мы не утверждаем, что эти блокираторы плохие — скорее всего, проблему решали последующие обновления; в реальности парк оборудования во многих лабораториях не обновляется годами, что в конечном итоге неизбежно приводит к проблемам с совместимостью с новыми накопителями.

Как мы тестируем

Мы проверяем блокировку записи с помощью WriteBlocking Validation Utility от CRU (WiebeTech). Эта утилита отправляет на диск все возможные команды записи — от стандартных до редких, которые используют в стороннем оборудовании. Блокиратор отрабатывает их безупречно.

Для оценки скорости мы используем OSForensics. В тестах наш блокиратор демонстрирует результаты, близкие к максимуму интерфейса SATA. Мы публиковали скриншоты с реальными цифрами, они доступны по запросу.

Важные моменты

Наш блокиратор рассчитан на питание напряжением 5В через порт USB. Этого хватает для большинства 2.5″ накопителей. Но если вы подключаете диск к слабому порту или к ноутбуку с ограниченной отдачей по току, то питания может не хватить. В этом случае мы рекомендуем использовать активный хаб с внешним питанием, порт с гарантированной отдачей 5В/1.5А или внешний источник питания.

И ещё раз напомним: мы сознательно отключили поддержку режима UASP. На практике он может мешать корректной блокировке записи — поэтому мы решили не рисковать. Несмотря на это, наш блокиратор демонстрирует высокую скорость передачи данных и работает ничуть не хуже решений, в которых UASP включён.

Вместо заключения

Мы разработали универсальный блокиратор записи для накопителей с протоколом SATA, который одинаково хорошо работает и на выезде, и в лаборатории. Он компактен, стабилен, обеспечивает защиту от записи даже на оптических приводах и поддерживает десятки форматов накопителей через переходники.

Наша цель — предоставить надёжный инструмент, на который можно положиться в любой ситуации: при выездном осмотре, в лаборатории при массовой обработке. Мы уверены в своей разработке. И уверены, что вы тоже сможете ей доверять.